Jamf ProでのmacOSの動的SCEP

認証局(CA)を構成すると、モバイルデバイス管理(MDM)ソフトウェアを通じて対象のデバイスにクライアント証明書を発行できます。これらの証明書は、Okta VerifyがデバイスIDを確立するために使用する特定のAPIエンドポイントへのアクセスを許可します。

目的(Purpose)

Okta Device Access証明書

プラットフォーム

macOS

MDM

Jamf Pro

SCEP URL

動的(Dynamic)

開始する前の確認事項

以下にアクセスできることを確認してください:

  • デジタル署名用としてデプロイされるが、他の用途(暗号化など)には使用されない証明書

  • Okta Admin Console

  • Jamf Proダッシュボード

このタスクを開始する

  1. でSCEP構成を生成するOkta

  2. でSCEPプロファイルを作成するJamf Pro

  3. でSCEPプロファイルのデプロイメントターゲットを構成するJamf Pro

  4. Okta CAがデバイスにインストールされていることを確認する

OktaでSCEP構成を生成する

  1. Admin Consoleセキュリティ(Security) > デバイス統合(Device integrations)に移動します。

  2. デバイスアクセス(Device Access)タブで、SCEP構成を追加(Add SCEP configuration)をクリックします。

  3. SCEP構成を追加(Add SCEP configuration)ページで、次のオプションを選択します。

    SCEP URLチャレンジタイプ(SCEP URL challenge type)動的SCEP URL(Dynamic SCEP URL)および汎用(Generic)

  4. 生成(Generate)をクリックします。

  5. 次の値をコピーして安全な場所に保存します。

    • SCEP URL

    • チャレンジURL

    • ユーザー名

    • パスワード(Password)

      Admin Consoleでパスワードを取得できるのはこのときだけです。パスワードをプレーンテキストで表示するには、パスワードを表示アイコンOpen eye icon that reveals the saved password when clicked.をクリックします。

      パスワードのリセットが必要なときは、デバイスアクセス(Device Access)ページのアクション(Actions)メニューにあるパスワードのリセット(Reset password)をクリックします。

  6. 保存(Save)をクリックします。

Jamf Proで動的SCEPプロファイルを作成する

プロファイルでは、デバイスがSCEPを使用してCAから証明書を取得できるようにする設定を指定します。

Jamf ProでSCEPプロファイルを作成するには、次の操作を行います。

  1. Jamf Proコンピューター(Computers) > 構成プロファイル(Configuration Profiles)に移動します。

  2. 新規(New)をクリックします。

  3. 一般(General)ページで、次の情報を入力します。

    • 名前(Name):プロファイルの名前を入力します。

    • 説明(Description):オプションです。プロファイルの説明を入力します。

    • レベル(Level)コンピューターレベル(Computer Level)を選択します。

      Okta Verifyはこの証明書を使用して、デバイスアクセスの管理対象のデバイスとユーザーを識別します。

      コンピューターレベルの証明書で、デバイスのすべてのユーザーが管理対象として扱われるようになります。

  4. SCEPをクリックしてから、構成(Configure)をクリックします。

  5. SCEPプロファイル(SCEP profile)(SCEP profile)に次の情報を入力します。

    • URL:タスク1で保存したSCEP URLを貼り付けます。

    • 名前(Name):SCEPプロファイルの名前を入力します。

    • プロファイルの再配布(Redistribute Profile):SCEP発行の証明書の有効期限が切れる何日前にプロファイルを再配布するか、時間枠を選択します。

      Oktaは、証明書の自動更新をサポートしません。Oktaプロファイルを再配布して、有効期限が切れる証明書を置き換えます。

    • 件名(Subject):証明書を識別するための名前を入力します。

      Oktaでは、この件名(Subject)フィールドに特定の形式要件はありません。このフィールドを使用して、証明書の目的をOktaにおけるデバイス管理シグナルとして示すことができます。必要に応じてJamf Proの変数($UDID$EMAILなど)を含めることもできます。例:

      • コンピュータレベル(Computer Level)CN=$COMPUTERNAME ma $UDID

      • ユーザーレベル(User Level)CN=$EMAIL ma $UDID

      maは管理証明を意味します)

      SCEP構成は、証明書が正常に発行・更新されることを確認するために、必ず本番環境以外でテストしてください。

    • チャレンジタイプ(Challenge type)動的-Microsoft CA(Dynamic-Microsoft CA)を選択します。

    • SCEP管理者へのURL(URL To SCEP Admin):タスク1で保存したチャレンジURL(Challenge URL)を入力します。

    • ユーザー名(Username):タスク1で保存したユーザー名(Username)を入力します。

    • パスワード(Password):タスク1で保存したパスワード(Password)を入力します。

    • パスワードの確認(Verify Password)

    • キーサイズ(Key Size)2048を選択します。

    • デジタル署名として使用する(Use as digital signature):このオプションを選択します。

    • キーチェーンからのエクスポートを許可する(Allow export from keychain):このオプションの選択を解除します。証明書をエクスポート不可としてマークするのは、セキュリティ上のベストプラクティスです。

    • すべてのアプリのアクセスを許可する(Allow all apps access):このオプションを選択します。

  6. 保存(Save)をクリックします。

Jamf ProでSCEPプロファイルのターゲットを構成する

Jamf Proでデバイスを管理している場合、次のステップでSCEPプロファイルのデプロイ先を構成します。

  1. Jamf Proコンピューター(Computers) > 構成プロファイル(Configuration Profiles)に移動します。

  2. タスク2で作成したSCEP構成プロファイル名を選択します。

  3. スコープ(Scope)をクリックします。

  4. 編集(Edit)をクリックします。

  5. 追加(Add)をクリックします。

  6. デプロイメントターゲットを選択し、追加(Add)をクリックします。必要なすべてのターゲットに対して、この手順を繰り返します。

  7. 保存(Save)をクリックします。

Okta CAがデバイスにインストールされていることを確認する

  1. Jamf Proによって管理されているmacOSデバイスでは、システム設定(System Settings) > プライバシーとセキュリティ(Privacy and Security) > プロファイル(Profiles)に移動します。

  2. キーチェーン(Keychain) > ログイン(Login)を開きます。

  3. クライアント証明書と、それに関連付けられた秘密鍵の両方があることを確認します。

次の手順

証明書のデプロイメントを検証する